179
制。象3)會話認證SA( Session Authentication):防火墻提供通信雙方每次通倍時透明的會話授
它的實現主要有三種方法:文,治にな() )基于口令的認證 (password-based Authe日令是收發雙方先預定好的
數據??诹铗炞C是根據用戶知道什么來進行的。在很多計算機網絡和分布式系統中,對資
將其以明文形式不加保護地在網上傳輸,到達主機后,主機在數據庫中査詢該用戶的口令,與 源的保護是通過用戶直接輸入口令錄到各個主機上實現的。這種情況下,用戶選擇口令并
只談談其中三點:①用戶所選的口令不是隨機分配的。の如果一個用戶在不同主機上有多 接收到的口令比較。如果相同則用戶合法,不同則非法。這種方法存在許多不安全因素。這
個戶,則他不得不為每個主機記憶一個ロ令、而且當他每換一個主機時就必須輸入一遍口
令,這很不方便。相反,用戶對于整個計算機網絡或分布式系統來說應該是單個用戶。②口令
的傳輸易受消極攻擊( passive attac)和重播攻擊( replay attack)。主要因為第三個缺點,口令
冒用戶。認證不適合用于計算機網絡和分布式系統。通過網絡傳送的口令很容易被截獲并且被用來假
(2)基于地址的認證( Address- Based Authentication)?;趯ぶ返纳矸菡J證可以克服口
器包的源地址而得到認證。它的主要思想是每個主機存儲有其它可信任主機的記錄。例如在 令認證的缺點,尋址認證并不依賴于在網絡上傳送口令,而是假定原點的身份可以通過參考數
umix中,每個主機有一個名為/ etc/host. equiv的文件,它包含有一張可信任主機名的列表。
用戶使用本主機和遠程主機上相同的用戶名就可以不必輸入ロ令而從一個可信任的主機上登
送口令的認證方式更不安全。錄。但是,尋址認證并不是解決身份認證問題的通用辦法,環境不同,它可能比以明文形式傳
公鑰密碼體制的認證協議;②基于傳統密碼體制的認證協議:③基于密鑰分配中心的認證協 (3)密碼認證( Cryptographic Authentication)。密碼認證又可以有三種實現機制:①基于
設計一個實用的身份認證的協議卻是非常國難的。Q 以。通常,密碼認證比上述兩種身份認證更安全。盡管身份認證的基本設計原則很簡單,但是
傳統的身份認證一般采用口令認證,而它的實現通常是系統把口令以密文的方式存放在
一個特定的文件中。但用戶名一般是公開的,如果攻擊者得到這個文件、他極有可能破譯,甚
反駛出來。在現實中已經有很多這樣成功的例子。日 至直接采用字典攻擊或猜測攻擊來對系統進行攻擊。這已經從Umx孫統的安全問題中可以
的應用服務。當外部網絡的一個服務請求到達防火墻時,防火墻可以用其制定的平衡算法,確 5.負載平衡( Load Balance)。平衡服務器的負載,由多個服務器為外部網絡用戶提供相同
定請求是由哪臺服務器來完成的。但對用戶來講,這些都是透明的低氣寫
180?愛 由于多數路由器本身就包含有分組過濾功,故網絡訪間控制功能可通過路由控制來實
現,從而使具有分組過濾功能的路由器稱為第一代防火墻產品。
第一代防火墻產品的特點是 (1)利用路由器本身的對分組的解析,以訪問控制表方式實現對分組的過濾。
2(2)過濾判決的依據可以是:地址、端口號、ICMP報文類型等。
附帶防火墻的功能的方法,對安全性要求較高的網絡則可單獨利用一臺路由器組成防火墻。1(3)只有分組過濾的功能,且防火墻與路由器是一體的,對安全要求低的網絡采用路由器
第一代防火墻產品的不足之處在于: (1)路由協議十分靈活,本身具有安全漏洞,外部網絡要探詢內部網絡十分容易。
例如:在使用FTP協議時,外部服務器容易從20號端ロ上與內部網相連,即使在路由器
設置了過速規則,內部網絡的20端口仍可由外部探尋 (2)路由器上的分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設暑
網絡系統管理員難以勝任,加之一旦出現新的協議,管理員就得加上更多的規去限制,這往 和配置十分復雜,它涉及到規則的邏輯一致性,作用端口的有效性和規則集的正確性,一般的
往會帶來很多錯誤 (3)路由器防火墻的最大隱患是:攻擊者可以“假冒”地址,由于信息在網絡上是以明文專
送的,黑客可以在網絡上例造假的路由信息欺騙防火墻。(4の路由器防火墻的本質性缺陷是:由于路由器的主要功能是為網絡訪問提供動態的,靈
活的路由,而防火墻則要對訪間行為實施靜態的、固定的控制,這是一對難以和的不盾,防火
墻的規則設置會大大降低路由器的性能??梢哉f;基于路由器的防火墻只是網絡安全的一種應急措施,用這種權宜之計去對付黑客
的攻擊是十分危險的。
第二階段:用戶化的防火墻工具套。為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護
自己的網絡,從而推動了用戶化的防火墻工具套的出現
作為第二代防火墻產品,用戶化的防火墻工具套具有以下的特征:行
基,(2)針對用戶需求,提供模塊化的軟件包;に1 定(1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;一月
(3)軟件可通過網絡發送,用戶可自己動手構造防火墻;
(4)與第一代防火墻相比,安全性提高了,價格降低了。
當復雜的要求,并帶來以下間題:,ty 國由于是純軟件產品,第二代防火墻產品無論在實現還是維護上都對系統管理員提出了相
(1)配置和維護過程復雜、費時;法互,
(2)對用戶的技術要求高;
(3)全軟件實現,安全性和處理速度均有局限
(4)實踐表明,使用中出現差錯的情況很多。
第三階段:建立在通用操作系銃上的防火墻。
的田(
本文地址:http://m.murenxiang.com.cn//article/3803.html